Bug 42209 - Ошибка ввода в домен AD winserver 2003 sp0
Summary: Ошибка ввода в домен AD winserver 2003 sp0
Status: NEW
Alias: None
Product: Branch p10
Classification: Unclassified
Component: alterator-auth (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-03-22 16:35 MSK by Mikhail Chernonog
Modified: 2022-03-23 17:49 MSK (History)
4 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Mikhail Chernonog 2022-03-22 16:35:14 MSK
Стенд:
Windows server 2003 sp0
клиент alt workstation k p10 rc2 обновленный до текущего репозитория
клиент alt workstation p10 обновленный до текущего репозитория

Шаги:
Настройка сервера.
1. На winsrv2003 развернуть AD
2. Создать пользователя administrator и добавить его в группы: "Администраторы", "Администраторы домена", "Администраторы предприятия", "Администраторы схемы"

Настройка клиента.
1. Установить пакет task-auth-ad-sssd
2. Добавить в файл /etc/krb5.conf следующие директивы:

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

3. Настроить /etc/resolvconf.conf добавить:

search_domains=oldnt.contoso
name_servers=ip_server_domain

и выполнив команду: # resolvconf -u

4. Ввести клиента в домен:
# system-auth write ad oldnt.contoso comp03 oldnt 'administrator' 'Pa$$word'

Ожидаемый результат:
Система успешно ввелась в домен.

Реальный результат:
Ошибка ввода в домен.
Failed to join domain: failed to lookup DC info for domain 'OLDNT.CONTOSO' over rpc: {Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.

Дополнительно:
Прописал IP в kdc = в /etc/krb5.conf:
[realms]
OLDNT.CONTOSO = {
 kdc = ip_server_domain
 default_domain = oldnt.contoso
}
Ошибка осталась.
Comment 1 Evgeny Sinelnikov 2022-03-23 14:21:28 MSK
Предварительная (перед вводом в домен) диагностика.

DNS.

$ host oldnt.contoso
$ dig +short _kerberos._udp.oldnt.contoso SRV
$ dig +short _ldap._tcp.oldnt.contoso SRV

KDC.

$ kinit administrator@OLDNT.CONTOSO

Если не заработает, то требуется выполнить более детальный вывод:

$ KRB5_TRACE=/dev/stdout kinit administrator@OLDNT.CONTOSO

Если успешно, проверяем полученный TGT:

$ klist

SMB via Kerberos.

$ smbclient -k -L //<имя_контроллера_домена>.oldnt.contoso

Если успешно, проверяем полученный TGS:

$ klist
Comment 2 Mikhail Chernonog 2022-03-23 17:49:07 MSK
Выполнил проверку на tve.

Шаги на клиенте:
1. Установил пакет task-auth-ad-sssd
2. Добавил в файл /etc/krb5.conf следующие директивы:

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

3. Настроил /etc/resolvconf.conf:

search_domains=oldnt.contoso
name_servers=ip_server_domain

# resolvconf -u

После выполнил диагностику из комментария 2.

DNS.

$ host oldnt.contoso
$ dig +short _kerberos._udp.oldnt.contoso SRV
$ dig +short _ldap._tcp.oldnt.contoso SRV

dig - вывода нет. Но при этом команда host работает:

[test@kworkstation-10-x86-64 ~]$ host -t SRV _kerberos._udp.oldnt.contoso 
_kerberos._udp.oldnt.contoso has SRV record 0 100 88 winsrv2003.oldnt.contoso.
[test@kworkstation-10-x86-64 ~]$ host -t SRV _ldap._tcp.oldnt.contoso 
_ldap._tcp.oldnt.contoso has SRV record 0 100 389 winsrv2003.oldnt.contoso. 


KDC - успешно

[test@kworkstation-10-x86-64 ~]$ kinit administrator@OLDNT.CONTOSO
Password for administrator@OLDNT.CONTOSO: 
[test@kworkstation-10-x86-64 ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: administrator@OLDNT.CONTOSO

Valid starting       Expires              Service principal
23.03.2022 16:23:22  24.03.2022 02:23:22  krbtgt/OLDNT.CONTOSO@OLDNT.CONTOSO
        renew until 24.03.2022 16:23:18

SMB via Kerberos - ошибка

[test@kworkstation-10-x86-64 ~]$ smbclient -k -L //winsrv2003.oldnt.contoso
protocol negotiation failed: NT_STATUS_IO_TIMEOUT